A LGPD não é o centro da Via Láctea, Universo. O Sol continua por lá.
A Lei Geral de Proteção de Dados é abrangente a ponto de tocar todos os setores da economia, todas as pessoas jurídicas e todas as pessoas físicas. Dificilmente, em uma digressão teórica, conseguiríamos visualizar alguém no Brasil não impactado pela LGPD, além do uso doméstico e particular da sua agenda de contatos, por exemplo.
De igual sorte, a LGPD faz interseção com diversas outras legislações e regulamentos do nosso ordenamento jurídico, exigindo o sombreamento das dessas normas.
Além disso, é um marco legislativo e contribuirá, sem dúvidas, para uma mudança cultural em proteção de dados, exposição da intimidade, liberdade de expressão, educação digital por que não?!
Mesmo muito representando, isso tudo não eleva a LGPD ao CENTRO do nosso ordenamento jurídico. Nem mesmo autoriza que no processo de adequação às novas normas de proteção de dados, conceitos de institutos jurídicos sejam distorcidos.
Um exemplo dessa prática viu-se recente com a publicação pelo Tribunal de Justiça do Distrito Federal, no decorrer do processo de adequação à LGPD, Resolução 9, de 2 de setembro de 2020, nomeando o Presidente daquela corte e sua equipe ao cargo de Controlador de Tratamento de Dados Pessoais, nomeando todos os servidores públicos ali lotados como Operadores de Tratamento de Dados Pessoais:
Art. 5º No Tribunal, o Controlador e os Operadores são respectivamente o Presidente do Tribunal, assessorado pelo Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais – CGSI, e os servidores e colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com o Tribunal.
- 1º Os Vice-Presidentes e o Corregedor da Justiça serão os Controladores Adjuntos.
Cumprindo a nova lei brasileira de proteção de dados, o TJDF também nomeou o Encarregado de Proteção de Dados Pessoais.
Essa mecânica de nomeações, equivocada, está contagiando outros órgãos públicos. Infelizmente.
De início, cabe esclarecer que é assertiva a nomeação do Encarregado pelo Tratamento de Dados Pessoais, que no desenho legislativo da nossa norma atribuiu a obrigação ao Controlador de indicar um responsável pela comunicação com os titulares, com a Autoridade Nacional de Proteção de Dados (vide art. 47 da LGPD), dentre outras atividades. Para essa função, está permitida a constituição de um setor, equipe (mesmo tendo que apontar um só como principal), ou nomear uma pessoa jurídica contratada especificamente para essa finalidade (DPO as a service).
No mais, entendemos por recheada de atecnia as demais nomeações para Controladores e Operadores servidores públicos lotados naquele Tribunal.
Uma lógica muito simples repousa aí: os conceitos de Controlador e Operador são open legis, ou seja, são ditados pela lei, prescindindo, portanto, de atos de nomeação por quem quer que seja ou por qualquer meio como portaria ou contratos. O enquadramento de uma pessoa em um desses dois papeis de Agente de Tratamento de Dados Pessoais, para a LGPD, é contextual e não definido por auto declaração.
Se estamos diante de uma pessoa jurídica que opera dados pessoais, será ela taxada como controladora se executa qualquer operação de tratamento com base em suas próprias regras e finalidades, ainda que o meio seja executado por outra pessoa. Lógico, se estamos falando de uma pessoa jurídica, como figura de ficção jurídica, a execução institucional se dá por meio de das mãos físicas por ela contratadas.
O seu corpo funcional, portanto, atua por meio de representação, seja por vínculo jurídico trabalhista ou estatutário. E está lá – e, pasmem, continua a ter efeito jurídico – o instituto da representação previsto no Código Civil nos art. 1.169 e seguintes.
E não vamos complicar exigindo que empregados e servidores públicos precisariam de procuração para realizar operações de tratamento de dados pessoais. Algumas atividades e negócios jurídicos exigem sim atos específicos para serem executados em nome da Pessoa Jurídica, alguns por lei, outros por regulamentos, outros por práticas de boa governança corporativa ou gestão da coisa pública. Mas, não por demandarem operações de tratamento de dados. Não com base nesse critério. A definição das atividades de trabalho a serem desempenhadas pelo empregado ou servidor público deverão, como costumeiramente, estar desenhadas no contrato de trabalho, quadro de atividades, edital do concurso, etc. Operações de tratamento de dados serão inerentes a cada uma dessas funções e, portanto, estarão sob a execução dos empregados e servidores públicos dos respectivos Controladores.
Contudo, esse desdobramento não faz com que esses empregados e servidores públicos possam ser considerados Operadores de Tratamento de Dados Pessoais.
De igual forma, o fluxo de dados entre os setores de uma pessoa jurídica ou de um órgão público não representa a transferência de dados entre agentes de tratamento. Os dados permanecem com o mesmo Controlador, no mesmo CNPJ.
Se os dados não são compartilhados com terceiros fora da Pessoa Jurídica, não vislumbramos a presença do Operador de Tratamento de Dados Pessoais.
Com efeito, a relação entre Controlador e Titulares nem sempre será cadenciada por um Operador. Em verdade, há diversas mecânicas que podem ser visualizadas na prática. Vejamos as hipóteses exemplificativas:
- TITULAR DOS DADOS – CONTROLADOR
- TITULAR DOS DADOS – CONTROLADOR – OPERADOR
- TITULAR DOS DADOS – OPERADOR – CONTROLADOR
- TITULAR DOS DADOS – CONTROLADOR – CO CONTROLADOR – OPERADOR
- TITULAR DOS DADOS – OPERADOR – CONTROLADOR – CO CONTROLADOR
Assim, a figura do Operador de Tratamento de Dados Pessoais vai surgir, como pessoa jurídica ou física estranha ao quadro funcional do Controlador com quem manterá relação contratual escrita ou não, por meio da qual será demandado a executar tarefas, dentre as quais evolverão operações de tratamento de dados.
Não podemos, também, deixar de importar (como temos feito com alguns pontos da LGPD) os conceitos muito bem definidos pela EDPB, via Guideline 07/2020, de 02 de setembro, quando delimita, para a GDPR, que o Controlador continua sendo a pessoa jurídica mesmo apontando a função de processar a operação de tratamento de dados a um dos seus empregados:
- Sometimes, companies and public bodies appoint a specific person responsible forthe implementation of the processing operations. Even if a specific natural person is appointed to ensure compliance with data protection rules, this person will not be the controller but will act on behalf of the legal entity (company or public body) which will be ultimately responsible in case of infringement of the rules in its capacity as controller.
E nomear ou considerar um empregado ou servidor público como Operador de Tratamento de Dados com a finalidade de colocá-lo na cadeia de responsabilidade por infringir obrigações da LGPD, como previsto no arts. 42 e 43, é uma justificativa vazia.
Não ter o seu empregado ou servidor público “nomeado” como Operador de Tratamento não exclui a sua eventual responsabilização, sob o ponto de vista de obrigações civis, de eventual dano que possa vir a causar ao seu empregador que poderá se valer o direito de ação de regresso para buscar o eventual reembolso, observados os requisitos necessários do instituto da responsabilidade civil, prevista no art. 927 e seguintes do Código Civil de 2020. Ainda em vigor!
